ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
Illustration of a camera on a concrete wall.

"悪党は第27条の代表を任命しない。27の代表」を選任せず、罰金を科す!

Andreas
Women called Clara in a pantsuit.

Andreas Maetzler, Clara Sator

イングランド・ウェールズ高等法院は、最近の判決Sanso Rondon v. LexisNexis Risk Solutions UK Ltd [2021] EWHC 1427 (QB) の中で次のように結論づけている:

Art.3.2の管理者による代理人の任命は、それ自体、管理者がGDPRに関与し、その適用範囲の規定を理解し、データおよびデータ主体へのアクセスに課される条件を受け入れるという重要なシグナルである。つまり、GDPRは、得られる利益のために負うべき負担という取引を認識していることを示すものです。これは3.2条の適用を受け入れることであり、善意の意思表示である。(判決全文)

被告の法律顧問が言うように、悪人は第27条の代理人を選任しない。しかし、代理人選任の問題は、もはやコンプライアンスを示し、信頼を得るための努力を誇示するためだけのものではない。オランダのデータ保護局(「DPA」)がカナダのウェブサイトを持つ企業に課した罰金に照らせば、代理人を選任しないことは企業にとって存亡の危機となる。 GDPRの適用可能性に関する認識やリテラシーの欠如、適用除外に関する誤解が蔓延している。その結果、コンプライアンス・ギャップがプライバシー・ポリシーの中に公然と現れ、すべてのデータ主体およびデータ保護当局が、特にGDPR第27条に基づく代理人選任義務に関して、コンプライアンス違反が一目でわかるようになっています(代理人選任義務に関する詳細)。 代理人選任義務の不履行により、おそらくカナダのウェブサイトであるLocatefamily.comは、オランダのDPAから50万ユーロをはるかに超える罰金を課され、非常に大きな損害を被りました。

本件について

Locatefamily.comは、ユーザーが音信不通の家族、元同級生、友人の連絡先を検索できるプラットフォームである。そのため、このウェブサイトは、世界中にいる個人の名前、住所、時には電話番号などの個人データを利用している。ここ数年、オランダのDPAは、ヨーロッパのデータ主体から、Locatefamily.comがウェブサイトからの個人データの削除要求に適切に対応しなかったという複数の苦情を受けた。オランダのDPAがこれらの苦情をさらに調査したところ、他の加盟国のデータ保護当局も同様のメッセージを受け取っていることが判明した。苦情の数が手に負えなくなったため、オランダDPAはGDPR第27条違反の疑いについて調査を開始することを決定した。27 GDPRの侵害の疑いで調査を開始することを決定した。第27条の代理人の選任が義務付けられていることは、欧州連合(EU)内には存在せず、欧州連合内に事業所もないようだった。27条担当者の任命が義務付けられていることは、非常に短く不完全なプライバシーポリシーには記載されていなかった。

EUのGDPR担当者を任命しなかったこと

第27条GDPRは、EU域外の企業に対し、EU域内の代表者を任命することを義務付けている。27 GDPRは、EU域外の企業に対し、以下の場合に欧州代理人を任命することを義務付けている。

  • 商品またはサービスを提供する場合
  • 欧州連合内に事業所がない場合、欧州の個人の行動を監視する。

この義務の理由は、データ保護当局と個人はプライバシー関連の質問について現地の担当者を持つべきであり、個人はGDPRに基づくデータ主体の要求(例えば個人データの削除を求める権利など)を担当者に伝えることができるためである。

この事件で争点となったのは、Locatefamily.comがEU市民にサービスを提供しているかどうかという点だったようだ。同社の考えとは異なり、オランダのDPAは、Locatefamily.comのウェブサイトが欧州連合(EU)に居住する個人を対象としていることから、Locatefamily.comはEUに居住する個人にサービスを提供しているとみなした。以上のことから、Locatefamily.comは、EU域内に事業所がない場合、代表者を任命する必要がある。オランダDPAのモニーク・ヴェルディエ副委員長は、『その情報を削除させる簡単な方法がなければならない』と強調した。Locatefamily.comがEU域内に代表者を置いていないこともあり、ここでは不可能です。だから、私たちはこのウェブサイトに罰金を科したのです』。

同社がこの要件を満たそうとしなかったことから、DPAは525,000ユーロの制裁金を課した。さらにDPAは、Locatefamily.comに対し、2021年3月18日までに欧州代理人を選任しなければ、2週間ごとに20,000ユーロ、最高で120,000ユーロの罰金を科すことを命じた。しかし、この罰金はかなり高くなる可能性があった:GDPRでは、監督当局は最高1,000万ユーロまたは企業の年間売上高の2%(いずれか高い方)の制裁金を科すことができる。そのため、彼らは軽く済んだと考える人もいるかもしれない。

結論

データ保護当局が第27条の代理人を任命しなかったとして制裁金を課すようになるのは時間の問題であったと思われるかもしれない。27の代理人を任命しなかった場合、データ保護当局が罰金を科すようになるのは時間の問題だと思うかもしれない。とはいえ、事業所を持たない非EU企業や非英国企業の大半は、この義務を知らないか、あるいは知っていても壊滅的なリスクを受け入れたいがために、まだ代理人を選任していない。

このケースは、監督当局がコンプライアンス違反の事例に罰金を科し、代理人選任義務を執行する意思があることを示している。オランダのDPAだけでなく、他の9つのデータ保護当局もこのケースの調査に参加しており、第27条の遵守が監督当局にとって重要であることを示している。27の遵守はEUの監督当局にとって重要である。さらに、非EUおよび非英国の企業は、各国のデータ保護当局が企業のコンプライアンスを問う可能性があるだけでなく、GDPRがEUの4億4,700万人のデータ主体および英国の6,600万人のデータ主体に対して、個別に苦情を申し立て、自らのプライバシー権を行使する権利を付与していることを念頭に置く必要がある。

最後に、本件のようなコンプライアンス違反に対して罰金を科すことは、データ保護当局のよく知られた権限であるが、非EUまたは非英国の企業にとって存続の脅威となり得る唯一の権限ではない。とりわけ、データ保護当局には、処理禁止や第三国の受領者へのデータフローの停止といった制限を課す権限があり、いずれも企業の通常の事業継続を妨げる可能性がある。 したがって、企業やそのアドバイザーは、GDPRの適用可能性や代理人選任義務に関する理解を疑い、最近の文献(詳細)を考慮に入れて、自社の姿勢を見直す必要がある。また、ブレグジットは、EU企業が英国に働きかける場合だけでなく、英国企業がEU内の個人をターゲットにしたり、監視したりする場合にも必要なことである。イングランド・ウェールズ高等法院によれば、このサービスは簡単に利用でき(こちら)、善意のシグナルとなるため、疑問がある場合には、代理人を任命することをお勧めする。